前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >PPP 会话验证:PAP和CHAP有啥区别?两张神图总结完!

PPP 会话验证:PAP和CHAP有啥区别?两张神图总结完!

原创
作者头像
网络技术联盟站
修改2021-11-08 11:26:55
7.4K2
修改2021-11-08 11:26:55
举报
文章被收录于专栏:网络技术联盟站网络技术联盟站

PAP 使用双向握手来验证客户端会话,而 CHAP 使用三次握手,两种身份验证过程都很常见,但只有一种更安全。

  • PAP,英文全称Password Authentication Protocol,中文解释为密码验证协议
  • CHAP,英文全称Challenge Handshake Authentication Protocol,中文解释为质询握手验证协议

两种验证协议都用于验证 PPP 会话,并且可以与许多 VPN 一起使用。

PAP 的工作方式类似于标准登录程序,远程系统使用静态用户名和密码组合对自身进行身份验证,密码可以通过已建立的加密隧道以提高安全性,但 PAP 会受到许多攻击,由于信息是静态的,很容易被密码猜测和窥探。

CHAP采用更复杂更安全的身份验证方法,它通过生成随机字符串为每个身份验证创建一个唯一的质询短语。该质询短语使用单向散列函数与设备主机名相结合,通过此过程,CHAP 可以不通过网络发送静态机密信息的方式进行身份验证。

让我们更深入地了解 PAP 和 CHAP 之间的差异以及它们如何协同工作。

什么是 PAP?

在两种点对点协议 (PPP) 身份验证方法中,PAP 比较老,它在 1992 年通过 IEEE征求意见稿 1334进行了标准化。

PAP 是一种客户端-服务器、基于密码的身份验证协议,身份验证仅在会话建立过程开始时发生一次。

PAP 通过以下步骤使用双向握手过程进行身份验证。

步骤 1. 客户端向服务器发送用户名和密码。

希望与服务器建立 PPP 会话的客户端向服务器发送用户名和密码组合,这是通过身份验证请求数据包执行的。

步骤 2. 服务器接受凭据并进行验证。

如果服务器正在侦听身份验证请求,它将接受用户名和密码凭据并验证它们是否匹配。

如果凭据发送正确,服务器将向客户端发送一个认证确认响应数据包,然后服务器将在客户端和服务器之间建立 PPP 会话。

如果凭据发送不正确,服务器将向客户端发送一个 authentication-nak 响应数据包,服务器不会根据否定确认建立响应。

PAP 是一种简单的身份验证机制,易于实现,但它在实际环境中的使用存在严重缺陷。

最大的缺点是 PAP 以纯文本形式从客户端向服务器发送静态用户名和密码,如果不法分子使用数据包嗅探器等工具拦截了此通信,则他们可以代表客户端进行身份验证并建立 PPP 会话。

可以通过现有的加密隧道发送 PAP 身份验证请求,例如 CHAP。

下面将介绍一下 CHAP。

什么是 CHAP?

CHAP 使用三次握手过程来保护身份验证密码免受恶意攻击者的攻击,它的工作原理如下:

步骤 1. 客户端发起身份验证,服务器生成质询。

客户端通过向服务器发送“询问质询”来启动 CHAP 身份验证,服务器使用随机生成的质询字符串进行响应。

步骤 2. 客户端执行主机名查找。

客户端在服务器上执行主机名查找,并使用客户端和服务器都知道的密码来创建加密的单向哈希。

步骤 3. 服务器解密哈希并验证。

服务器将解密散列并验证它是否与初始质询字符串匹配,如果字符串匹配,则服务器以身份验证成功数据包进行响应;如果字符串不匹配,服务器将发送身份验证失败消息响应,并终止会话。

PAP 与 CHAP 之间有什么区别?

CHAP 于 1996 年问世,主要是为了应对 PAP 固有的身份验证弱点,CHAP 不使用双向握手,而是使用三次握手,并且不会通过网络发送密码。CHAP 使用加密散列,客户端和服务器都知道其共享密钥,这个额外的步骤有助于消除PAP 中发现的安全漏洞。

另一个区别是可以设置 CHAP 以进行重复的会话中身份验证,这对于某些远程设备已断开连接仍保持端口打开的 PPP 会话很有用,在这种情况下,其他人可以通过建立物理连接来在会话中获取连接。

一张表来总结一下它们的区别:

PAP

CHAP

认证时由用户发起

认证时由服务器发起

用户名、密码明文传送

用MD5算法加密传送

次数无限,直至认证成功或线路关闭为止

次数有限(一般为3次)

认证通过后不再进行验证

认证通过后定时再验证

安全性低

安全性很高

PAP 和 CHAP 如何协同工作?

PAP 和 CHAP 本身不能一起工作。

但是,如果需要,使用PAP或CHAP的协议可以与这两种身份验证方法交互。

例如,PPP可以使用PAP或CHAP进行身份验证。因此,管理员可以将通信协议配置为首先尝试通过CHAP的安全三方握手进行身份验证,然后返回到PAP中不太安全的双向身份验证过程。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

网络安全
运维

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

网络安全
运维
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
目录
  • 什么是 PAP?
  • 什么是 CHAP?
  • PAP 与 CHAP 之间有什么区别?
  • PAP 和 CHAP 如何协同工作?
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
产品介绍产品文档
618年中盛惠,限时抢
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright ? 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有?

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059?深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 | ?京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright ? 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
2
http://www.vxiaotou.com